大数据平台数据安全风险评估指标体系编制说明

大数据平台数据安全风险评估指标体系编制说明

目的意义从世界范围看，网络安全威胁和风险日益突出，并日益向政治、经济、文化、社会、生态、国防等领域传导渗透。特别是国家关键信息基础设施面临较大风险隐患，城市整体网络安全防控能力薄弱，难以有效应对国家级、有组织的高强度网络攻击。2020年由国家发改委发布的《关于加快构建全国一体化大数据中心协同创新体系的指导意见》中指出要加快城市大数据创新应用，同时加快构建贯穿基础网络、数据中心、云平台、数据、应用等一体协同安全保障体系，提高城市大数据安全可靠水平。2021年国务院发布的《“十四五规划和2035年远景目标纲要》中提出分级分类推进新型智慧城市建设，同时加强网络安全保护建立健全关键信息基础设施保护体系，提升安全防护能力。加强网络安全风险评估和审查。因此，开展城市网络安全能力成熟度评价是确保城市网络安全的基础和前提，通过城市网络安全能力成熟度评价将有助于全面了解和掌握城市网络安全的状况和存在的问题，进而有针对性的补齐短板，推动城市建设与网络安全能力建设协同发展。尤其在我国全面探索新型智慧城市的建设过程中，这项工作是非常重要和必不可少的。其中，城市网络安全能力成熟度模型的关键作用在于：1、各国都亟需可以衡量城市在网络安全方面的能力成熟度水平的工具和方法。2、各国缺乏针对城市的可扩展的网络安全能力图谱，导致无法整体性了解城市网络安全能力建设状况和方向。3、各国缺乏一套务实可行的实践行动，来帮助城市缩小当前网络安全能力状况和预期网络安全能力目标之间的成熟度差距。4、城市主管部门在了解城市整体网络安全能力态势和基本实践方面的抓手不够成熟，无法支撑相关决策的制定。5、各国尚未形成成熟的城市网络空间安全防护工作模式，无法形成评价-分析-治理-评价的业务闭环，限制了城市网络空间防护的能力和水平。任务来源国际上，网络安全标准化工作兴起于20世纪70年代中期，20世纪80年代有较快的发展，20世纪90年代后开始引起世界各国的普遍关注与重视。目前很多国家和组织都已有自己的标准。这些标准对信息、网络安全管理讨论的重点各有不同，应用的领域也有差异。进行城市网络安全能力评价既是对现有城市网络安全状况的一种反映，也是对之前所采取的城市网络安全防护措施是否有效的验证。由此，可以明确问题所在，有助于进一步采取有针对性的措施，持续改进和提高城市网络安全防护的能力和水平。城市网络安全能力评价需贯穿于城市网络空间安全生命周期的规划、设计、建设、运营和管理等各个阶段。目前，国内外还未对城市网络安全能力成熟度模型进行标准化，各种城市网络安全能力评价的实践中积累了丰富的经验，但存在维度考虑不足，体系化程度不足等问题，亟需制定相关标准，能体系化、全面地对实践进行指导，提升城市网络安全水平。制定城市网络安全能力成熟度模型标准将有助于解决这一难题，推动城市安全建设、评估的系统化和全面性，避免烟囱式产品堆叠；同时，标准也有助于进行城市网络安全能力实践，从而进一步建设和提升城市网络安全能力。编制过程1) 2023年4月14日，规范研制正式启动会。标准牵头单位对前期的研究工作进行了汇报。确定了标准的研究思路和分工。2) 2023年4月20日，提交项目立项申请书。3) 2023年4月30日至2023年7月12日，期间对相关内容进行了调研，并举行多次标准工作组会议，针对标准整体框架与内容进行了调整与补充，形成第一版标准草案。4) 2023年7月16日，召开立项评审会，邀请专家评议草案并给出建议。5) 2023年7月18日至2023年12月16日，期间进行了多次标准工作组内部讨论，针对标准内容与格式进行了细节上的删改与调整。6) 2023年12月20日，形成第二版标准草案，并召集工作组举行了标准草案的内部闭门研讨会。7）2024年2月7日，形成征求意见初稿。8）2024年6月27日，邀请专家对征求意见稿进行评审。9）2025年4月，形成征求意见稿。主要内容技术指标确立本标准提出了大数据平台及数据安全的风险评估要素、风险分析原理、风险评估指标体系，以及风险评估实施流程的基本实践。详情如下：1、风险评估要素：大数据平台及数据安全进行风险评估过程中，为实现风险识别、分析、评估而应当考虑的几类基本要素。主要包括大数据平台、数据、接口、风险源、安全事件、安全措施等。从上述基本要素出发，本标准分别形成了针对大数据平台、数据和接口的风险量化评估指标体系。2、风险分析原理：进行大数据平台及数据风险评估应当遵循的几项基本原理。主要包括对资产价值的评估、对威胁源频率和影响的评估、对安全事件发生的可能性和影响的评估、对评估对象造成损失的评估、对风险值和风险等级的评估等。从上述基本要素出发，本标准形成了具体的风险评估实施流程。3、风险评估指标体系：大数据平台及数据风险评估的一系列要素及其权重建议的集合，可用于某个对象的风险存在程度进行有条理、全面和分类的排查，实现快速分析计算此对象风险值、确定其所属风险等级的目的。主要包括数据风险量化指标体系、大数据平台风险量化指标体系和接口风险量化指标体系三个部分。4、风险评估实施流程：通过风险评估指标体系，识别与分析大数据平台、数据和接口的潜在风险，量化风险对平台及数据的影响程度，制定合理有效的风险管理方案，将风险降低至可接受的范围。风险评估实施流程主要包括两个阶段，在评估执行阶段，识别资产、风险源和安全措施，在风险分析阶段，输出风险评估报告、组织专家评审和发放评估证书。本标准适用于对大数据平台及数据安全风险进行评估，其中风险评估指标体系也可以作为大数据平台开展数据安全能力建设时的依据。在实际应用中，可根据平台实际资产与业务情况，对风险评估指标体系进行裁剪，具体包括：确定平台资产类型、数据流转和处理过程、对外接口和业务等，以符合当前平台运行状况和当地大数据平台数据安全建设战略。本标准牵头单位为中国科学院信息工程研究所，参加单位包括中国标准化研究院、西安电子科技大学。与相关法律法规和国家标准的关系本标准的总体结构和编写方法按照GB/T1.1-2020《标准化工作导则第一部分：标准化文件的结构和起草规则》的规定执行。本标准参考的相关法律、法规和标准文件如下：GB/T20984-2022信息安全技术信息安全风险评估方法GB/T31509-2015信息安全技术信息安全风险评估实施指南GB/T34080.4-2021基于云计算的电子政务公共平台安全规范第4部分：应用安全GB/T35274-2017信息安全技术大数据服务安全能力要求GB/T37973-2019信息安全技术大数据安全管理指南DB15/T1874-2020公共大数据安全管理指南DB23/T3338-2022电子政务云监管平台运维管理规范YD/T3797.1-2021云服务用户数据保护能力评估方法第1部分：公有云YD/T3797.2-2020云服务用户数据保护能力评估方法第2部分：私有云YD/T3800-2020电信网和互联网大数据平台安全防护要求T/ISC